局等保评估服务方案.docx
《局等保评估服务方案.docx》由会员分享,可在线阅读,更多相关《局等保评估服务方案.docx(86页珍藏版)》请在冰豆网上搜索。
局等保评估服务方案
某市某单位
信息安全等级保护评估服务规划方案
(V1.0)
第1章.项目概述2
1.1.项目背景2
1.2.项目依据2
1.3.项目建设内容3
第2章.系统安全需求分析4
2.1.目前状况4
2.2.状况分析5
第3章.等保评估6
3.1.测评基本内容6
3.2.评估对象现状7
系统定级7
系统列表7
3.3.等级保护评估实施规划7
评估方法7
评估工具8
评估流程9
3.4.等级保护评估内容规划10
安全控制评估10
安全管理评估44
系统整体评估80
综合评估分析80
3.5.等级保护评估安排80
现场评估准备80
现场检查测试83
需要配合事项84
第4章.安全管理体系建设85
4.1.总体安全体系建设85
4.2.安全管理层面85
安全管理制度86
安全管理机构86
人员安全管理87
系统建设管理87
系统运维管理88
第5章.项目规划建设89
5.1.总体工作计划89
5.2.系统差距评估89
第6章.安全建设清单及预算93
第1章.项目概述
1.1.项目背景
2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
按照《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,某市某单位积极响应等级保护要求,将开展等保定级、等保评估、等级保护整改、差距测评等评估工作,切实将信息发布系统建成“信息公开、在线办事、公众参与”三位一体的业务体系,为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。
目前,需要对现有的6个系统展开等级保护工作,7个系统分别是:
某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。
虽然系统各异,但是都在同一个物理地址,故此统一对6个系统进行等级保护安全建设,使之更加安全、稳定。
某信息化公司信息安全技术有限公司(简称某信息化公司公司)通过多年来在信息安全咨询、服务、建设中的积累和发展,逐步形成的一套完善的信息安全工程体系,以专业理论和技术为支撑;以多种专业测试工具为手段;以国际和国家信息安全标准为实施规范。
某信息化公司信息安全技术股份有限公司为客户提供全面的,专业的安全支持。
1.2.项目依据
(1)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
(2)2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》
(3)《信息安全等级保护管理办法》(公通字[2007]43号)
(4)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
(5)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
(6)GB/T22240-2008信息安全技术信息系统安全等级保护定级指南
(7)GB/T25058-2010信息安全技术信息系统安全等级保护实施指南
(8)GB/T19716-2005信息技术信息安全管理实用规则
(9)GB/T20270-2006信息安全技术网络基础安全技术要求
(10)GB/T20271-2006信息安全技术信息系统安全通用技术要求
(11)GB/T20272-2006信息安全技术操作系统安全技术要求
(12)GB/T20273-2006信息安全技术数据库管理系统安全技术要求
(13)GB/T21052-2007信息安全技术信息系统物理安全技术要求
(14)GB/T21052-2006等级保护系列安全产品技术要求
(15)国家标准《电子计算机机房设计规范》(GB50174-93)
(16)国家标准《计算站场地安全技术》(GB9361-88)
(17)《中国工程建设标准化协会标准—建筑与建筑群综合布线系统工程设计规范》(CECS72:
95)
1.3.项目建设内容
首先,本次项目以满足国家信息系统等级保护的相关要求为实施指导原则,某信息化公司公司对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站这6个系统业务系统进行协助等保定级,并开展等保评估工作,对以后的人员组织结构调整、安全制度提供相应建议,并对其网络、应用和主机等方面进行整改规划实施,来使其具备良好的保密性、完整性、可用性。
通过对国家等级保护测评单位的测评;再次,某信息化公司公司可配合用户单位,完成第三方测评单位对全部6个系统进行验收测评。
具体来讲,本项目的建设内容包括:
(1)依据国家信息系统等级保护要求,协助对某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站进行定级,并开展等保评估工作。
(2)落实对该系统网络的网络架构安全整改规划和安全设备部署,配合用户完善安全管理制度、安全管理机构、人员安全管理等。
第2章.系统安全需求分析
2.1.目前状况
本次项目负责有6个系统,各系统的基本情况及建设内容如下表。
系统名称
物理地址
级别
所需等保工作
某市某单位OA系统
中心机房
二级
定级、等保评估
某市某单位档案系统
中心机房
二级
定级、等保评估
某市某单位大道班系统
中心机房
二级
定级、等保评估
某市某单位财务系统
中心机房
二级
定级、等保评估
某市某单位路政巡查系统
中心机房
二级
定级、等保评估
某市某单位网站
中心机房
二级
定级、等保评估
6个系统的网络拓扑现状大概如下:
某市某单位的6个系统总共有16台服务器、1台核心交换机和1台防火墙等网络设备。
2.2.状况分析
根据调研,某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站皆在同一个物理机房,需要对其定级、等保评估。
需要协助其进行定级,并对该系统的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这10方面进行测评,检测,并提供相应报告。
第3章.等保评估
3.1.评估基本内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:
一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用测评单元方式组织。
测评单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
具体见下图:
3.2.评估对象现状
3.2.1.系统定级
该系统定级对象有6个,皆暂定为二级。
3.2.2.系统列表
信息系统名称
安全保护等级(G)
业务信息安全等级(S)
系统服务安全等级(A)
某市某单位OA系统
二级
二级
二级
某市某单位档案系统
二级
二级
二级
某市某单位大道班系统
二级
二级
二级
某市某单位财务系统
二级
二级
二级
某市某单位路政巡查系统
二级
二级
二级
某市某单位网站
二级
二级
二级
3.3.等级保护评估实施规划
3.3.1.评估方法
评估过程中将主要采用访谈、检查、测试等方法进行等级保护评估。
3.3.2.评估工具
在本次评估工程实施中,可能使用的工具包括:
工具类别
工具名称
工具说明
安全配置核查
安全配置检查表
由某信息化公司信息安全技术股份有限公司编制的等级保护评估主机操作系统配置检查表、网络设备配置检查表、数据库配置检查表,主要采用人工核查方式进行,系统进行脆弱性检查和分析。
3.3.2.1.人员访谈
人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对客户的信息安全管理体系、信息安全运维过程等方面,对比等级要求进行测试。
评估专家通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效,评估中使用各类调查问卷和访谈大纲。
评估方法
人员访谈
简要描述
根据系统定级,对安全管理制度的制定及执行情况进行检查
达成目标
了解某市某单位安全管理制度的制定情况、落实情况
主要内容
安全组织和管理全策略和程序、应用安全管理、数据安全管理、操作系统安全管理、网络安全管理、访问控制管理、物理安全、业务连续性管理(含备份)
实现方式
管理制度和程序文件的收集和分析
分析和现场检查管理过程记录问卷和现场访谈
现场参观检查
工作条件
2-3人工作环境,某市某单位人员和资料(安全管理制度、记录文件等)配合
工作结果
某市某单位安全管理制度访谈结果
参加人员
某信息化公司评估专家小组、某市某单位信息系统安全主管、维护人员等
3.3.3.评估流程
3.4.
等级保护评估内容规划
3.4.1.安全控制评估
3.4.1.1.安全技术评估
安全技术评估包括:
物理安全、网络安全、主机系统安全、应用安全、数据安全等五个层面。
●物理安全检查
评测项编号:
P1
评测项目:
物理位置的选择
评测资产:
评测指标:
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房,办公场地,机房场地设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;
2)评测机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。
如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。
)
评测项编号:
P2
评测项目:
物理访问控制
评测资产:
评测指标:
1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
2)应批准进入机房的来访人员,限制和监控其活动范围。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
评测方法:
1)访谈物理安全负责人,了解部署了哪些控制人员进出机房的保护措施;
2)评测机房安全管理制度,查看是否有关于机房出入方面的规定;
3)评测机房出入口是否有专人值守,是否有值守记录及人员进入机房的登记记录;评测机房是否不存在专人值守之外的其他出入口;
4)评测是否有来访人员进入机房的审批记录,查看审批记录是否包括来访人员的访问范围。
判定标准:
如果2)-4)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P3
评测项目:
防盗窃和防破环
评测资产:
评测指标:
1)将主要设备放置在机房内;
2)对设备或主要部件进行固定,并设置明显的无法除去的标记;
3)将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)对介质分类标识,存储在介质库或档案室中;
5)安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
评测方法:
1)访谈物理安全负责人,了解采取了哪些防止设备、介质等丢失的保护措施;
2)访谈机房维护人员,询问关键设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施并定期进行维护评测;
3)访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介质库或档案室内进行管理;
4)评测关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;评测关键设备或设备的主要部件的固定情况,查看其是否不易被移动或被搬走,是否设置明显的不易除去的标记;
5)评测通信线缆铺设是否在隐蔽处;
6)评测机房防盗报警设施是否正常运行,并查看是否有运行和报警记录;
7)评测介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室内。
判定标准:
如果4)-7)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P4
评测项目:
防雷击
评测资产:
评测指标:
1)机房建筑应设置避雷装置;应设置交流电源地线。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;询问机房计算机供电系统是否有交流电源地线;
2)评测机房建筑是否有避雷装置,是否有交流地线;
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P5
评测项目:
防火
评测资产:
评测指标:
1)应设置灭火设备和火灾自动报警系统
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了火灾自动报警系统,是否有人负责维护该系统的运行,是否制定了有关机房消防的管理制度和消防预案,是否进行了消防培训;
2)访谈机房维护人员,询问是否对火灾自动报警系统定期进行评测和维护;
3)评测机房是否设置了灭火设备,灭火设备摆放位置是否合理,其有效期是否合格;应评测机房火灾自动报警系统是否正常工作,查看是否有运行记录、报警记录、定期评测和维修记录。
判定标准:
如果1)-3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P6
评测项目:
防水和防潮
评测资产:
评测指标:
1)水管安装,不得穿过机房屋顶和活动地板下;
2)采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
3)采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,机房设施(上下水装置,除湿装置),建筑防水和防潮设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问机房是否部署了防水防潮措施;如果机房内有上/下水管安装,是否避免穿过屋顶和活动地板下,穿过墙壁和楼板的水管是否采取了可靠的保护措施;在湿度较高的地区或季节是否有人负责机房防水防潮事宜,配备除湿装置;
2)访谈机房维护人员,询问机房是否没有出现过漏水和返潮事件;如果机房内有上/下水管安装,是否经常评测其漏水情况;在湿度较高地区或季节是否有人负责机房防水防潮事宜,使用除湿装置除湿;如果出现机房水蒸气结露和地下积水的转移与渗透现象是否及时采取防范措施;
3)评测穿过主机房墙壁或楼板的管道是否配置套管,管道与套管之间是否采取可靠的密封措施;
4)评测机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象,则查看是否能够及时修复解决;
5)对湿度较高的地区,评测机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录。
判定标准:
如果3)-5)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P7
评测项目:
防静电
评测资产:
评测指标:
1)关键设备应采用必要的接地防静电措施。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
评测方法:
1)访谈物理安全负责人,询问关键设备是否采取用必要的防静电措施,机房是否不存在静电问题或因静电引发的安全事件;
2)评测关键设备是否有安全接地,查看机房是否不存在明显的静电现象。
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P8
评测项目:
温湿度控制
评测资产:
评测指标:
1)设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。
评测方法:
1)访谈物理安全负责人,询问机房是否配备了温湿度自动调节设施,保证温湿度能满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作,是否定期评测和维护机房的温湿度自动调节设施,询问是否没有出现过温湿度影响系统运行的事件;
2)评测温湿度自动调节设施是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;查看机房温湿度是否满足计算站场地的技术条件要求。
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P9
评测项目:
电力供应
评测资产:
评测指标:
1)在机房供电线路上配置稳压器和过电压防护设备;
2)提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
评测方式:
专家访谈、现场查看、文档审核
评测对象:
物理安全负责人,机房维护人员,机房设施(供电线路,稳压器,过电压防护设备,短期备用电源设备),电力供应安全设计/验收文档,评测和维护记录。
评测方法:
1)应访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;是否设置了短期备用电源设备,供电时间是否满足系统关键设备最低电力供应需求;
2)应评测机房,查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行;
3)应评测是否有稳压器、过电压防护设备以及短期备用电源设备等的评测和维护记录。
判定标准:
如果2)和3)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
评测项编号:
P10
评测项目:
电磁防护
评测资产:
评测指标:
1)电源线和通信线缆应隔离铺设,避免互相干扰。
评测方式:
专家访谈、现场查看
评测对象:
物理安全负责人,机房维护人员,机房设施
评测方法:
1)应访谈物理安全负责人,询问电源线和通信线缆是否隔离铺设,是否没有出现过因电磁干扰等问题引发的故障;
2)应评测机房布线,查看是否做到电源线和通信线缆隔离。
判定标准:
如果2)为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
●网络安全
评测项编号:
N1
评测项目:
结构安全
评测资产:
评测指标:
⏹1)保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
⏹2)保证接入网络和核心网络的带宽满足业务高峰期需要;
⏹3)绘制与当前运行情况相符的网络拓扑结构图;
⏹4)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
评测方式:
专家访谈、人工评测。
评测对象:
网络管理员,边界和重要网络设备,网络拓扑图,网络设计/验收文档。
评测方法
1)访谈网络管理员,询问关键网络设备的性能以及目前业务高峰流量情况;
2)访谈网络管理员,询问网段划分情况以及划分原则;询问重要的网段有哪些;
3)访谈网络管理员,询问网络中带宽控制情况以及带宽分配的原则;
4)评测网络拓扑结构图,查看其与当前运行的实际网络系统是否一致;
5)评测网络设计或验收文档,查看是否有关键网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期需要的设计或说明;
6)评测网络设计或验收文档,查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述。
判定标准:
1)如果4)-6)缺少相应文档资料,则为否定;
2)如果4)-6)均为肯定,则信息系统符合本单元评估指标要求,否则,信息系统不符合或部分符合本单元评估指标要求。
测试结果:
(根据评测方法,应写明每种评测方法的评测结果,最后根据判定标准写明本评测项是否符合,如果有多个评测指标,每个指标都应当说明是否符合。
如果根据信息系统实际情况,相关评测指标不适用,请注明“不适用”并说明原因。
)
评测项编号:
P2
评测项目:
访问控制
评测资产:
评测指标:
1)在网络边界部署访问控制设备,启用访问控制功能;
2)能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
3)按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
4)限制具有拨号访问权限的用户数量。
评测方式:
专家访谈、人工评测、漏洞扫描。
评测对象:
安全员,边界网络设备(包括网络安全设备)。
评测方法:
1)访谈安全管理员,询问网络访问控制措施有哪些;询问
升级会员 